遇见“散乱Lapsus$猎人”的管理员Rey

一个自称“散乱LAPSUS$猎人”的多产网络犯罪集团，今年因定期窃取数据并公开大规模勒索数十家主要公司而成为头条新闻。但对于该黑客组织的技术操作者和公众形象“Rey”来说，情况似乎发生了转变：本周早些时候，在KrebsOnSecurity追踪到他并联系其父亲后，Rey确认了他的真实身份并同意接受采访。

散乱LAPSUS$猎人被认为是由三个黑客团体——散乱蜘蛛、LAPSUS$和ShinyHunters——合并而成。这些团伙的成员大多来自“The Com”的相同聊天频道，这是一个主要使用英语、在大量Telegram和Discord服务器上运营的网络犯罪社区。

2025年5月，SLSH成员发起了一场社会工程活动，利用语音钓鱼诱骗目标将恶意应用程序连接到他们组织的Salesforce门户。该组织后来启动了一个数据泄露门户，威胁要发布据称Salesforce数据被盗的36家公司的内部数据，包括丰田、联邦快递、迪士尼/Hulu和UPS。这个与ShinyHunters相关的新勒索网站威胁称，除非Salesforce或个别受害公司同意支付赎金，否则将公布被盗数据。

上周，SLSH的Telegram频道发布了一则招募和奖励“内线”的广告，即大公司的员工同意共享其雇主网络的内部访问权限，以分享受害公司最终支付的赎金。SLSH此前曾征求内线访问权限，但他们最近对不满员工的最新呼吁在社交媒体上流传的同时，有消息称网络安全公司Crowdstrike解雇了一名员工，据称该员工与黑客组织分享了内部系统的截图。Crowdstrike表示他们的系统从未被入侵，并已将此事移交给执法机构。

SLSH成员传统上在攻击中使用其他勒索软件团伙的加密器，包括来自ALPHV/BlackCat、Qilin、RansomHub和DragonForce等勒索软件联盟计划的恶意软件。但上周，SLSH在其Telegram频道上宣布推出他们自己的勒索软件即服务业务，名为ShinySp1d3r。

负责发布ShinySp1d3r勒索软件产品的是SLSH的核心成员，化名“Rey”，他目前是SLSH Telegram频道仅有的三位管理员之一。此前，Rey是勒索软件团伙Hellcat数据泄露网站的管理员，该团伙于2024年底出现，并参与了针对施耐德电气、Telefónica和Orange Romania等公司的攻击。

同样在2024年，Rey接管了最新版本的BreachForums的管理员职位，BreachForums是一个英语网络犯罪论坛，其域名曾多次被FBI和/或国际当局扣押。2025年4月，Rey在Twitter/X上发布了关于FBI再次扣押BreachForums的消息。2025年10月5日，FBI宣布再次扣押与BreachForums相关的域名，并将其描述为ShinyHunters和其他团伙用来交易被盗数据和协助勒索的主要犯罪市场。FBI表示：“这次行动切断了这些行为者用来将入侵变现、招募合作者以及针对多个行业受害者的关键枢纽。”

令人难以置信的是，Rey去年犯下了一系列关键的操作安全错误，为确定和确认其真实身份和位置提供了多种途径。请继续阅读了解这一切是如何为Rey败露的。

REY是谁？

根据网络情报公司Intel 471的数据，Rey在过去两年中是各个BreachForums重生版本的活跃用户，在2024年2月至2025年7月期间发表了200多篇帖子。Intel 471表示，Rey之前在BreachForums上使用的化名是“Hikki-Chan”，他们的第一篇帖子分享了据称从美国疾病控制与预防中心窃取的数据。

在2024年2月关于CDC的帖子中，Hikki-Chan表示可以通过Telegram用户名@wristmug联系到他。2024年5月，@wristmug在一个名为“Pantifan”的Telegram群聊中发布了一封他们声称收到的勒索邮件的副本，其中包含他们的电子邮件地址和密码。@wristmug复制粘贴的这条消息似乎是自动电子邮件诈骗的一部分，该诈骗声称是由一名黑客发送的，该黑客入侵了你的电脑，并利用你的网络摄像头在你观看色情内容时录制了视频。这些信件威胁说，除非你支付比特币赎金，否则将把视频发布给你所有的联系人，并且它们通常会引用收件人以前使用过的真实密码。“不——”@wristmug账户在发布诈骗消息的截图后故作惊恐地写道。“我肯定完了，伙计们。”

在发布截图时，@wristmug隐去了诈骗消息正文中引用的电子邮件地址的用户名部分。然而，他们并没有隐去之前使用的密码，并且他们在截图中留下了电子邮件地址的域名部分。在违规追踪服务Spycloud中搜索@wristmug相当独特的15字符密码，发现已知只有一个电子邮件地址使用过它：cybero5tdev@proton.me。根据Spycloud的数据，这些凭证至少在2024年初两次暴露，当时该用户的设备感染了信息窃取木马，该木马窃取了其所有存储的用户名、密码和身份验证Cookie。

Intel 471显示，电子邮件地址cybero5tdev@proton.me属于一名BreachForums成员，其用户名为o5tdev。在Google上搜索这个昵称，至少会显示两个网站篡改存档，表明一个名为o5tdev的用户曾参与用亲巴勒斯坦信息篡改网站。例如，下面的截图显示05tdev是一个名为Cyb3r Drag0nz Team的团体成员。

SentinelOne在2023年的一份报告中描述Cyb3r Drag0nz Team是一个黑客行动主义团体，有发起DDoS攻击和网络篡改以及参与数据泄露活动的历史。该报告称：“Cyb3r Drag0nz Team声称已在多次泄露中泄露了超过一百万以色列公民的数据。迄今为止，该团体已发布了多个据称包含以色列各地公民个人信息的.RAR档案。”

网络情报公司Flashpoint发现，Telegram用户@05tdev在2023年和2024年初很活跃，在“Ghost of Palestine”等反以色列频道上用阿拉伯语发帖。

“我是个金蒂”

Flashpoint显示，Rey的Telegram账户在名为Jacuzzi的以网络犯罪为中心的频道中特别活跃，该用户在此分享了一些个人细节，包括他的父亲是一名航空公司飞行员。Rey在2024年声称自己15岁，并且与爱尔兰有家族联系。具体来说，Rey在几次Telegram聊天中提到他有爱尔兰血统，甚至发布了一张显示姓氏“Ginty”流行度的图片。

Spycloud索引了从cybero5dev@proton.me窃取的数百条凭证，这些细节表明Rey的计算机是一台位于约旦安曼的共享Microsoft Windows设备。2024年初从Rey那里窃取的凭证数据显示，受感染的PC有多个用户，但他们都共享Khader这个姓氏以及约旦安曼的一个地址。

从Rey的家庭PC中提取的“自动填充”数据包含一条46岁的Zaid Khader的记录，记录显示他母亲的娘家姓是Ginty。信息窃取数据还显示，Zaid Khader经常访问约旦皇家航空公司员工的内部网站。

遇见赛义夫

信息窃取数据清楚地表明，Rey的全名是Saif Al-Din Khader。在直接联系Saif未果后，KrebsOnSecurity给他的父亲Zaid发送了一封电子邮件。该邮件邀请这位父亲通过电子邮件、电话或Signal回复，解释说他儿子似乎深深卷入了一起严重的网络犯罪阴谋。

不到两小时后，我收到了Saif发来的Signal消息，他说他父亲怀疑这封电子邮件是诈骗邮件，已经转发给了他。“我看到了你的邮件，但我想我爸爸不会回复，因为他们认为这是‘诈骗邮件’，”Saif说，他告诉我他下个月就满16岁了。“所以我决定直接和你谈谈。”Saif解释说，他已经收到了欧洲执法官员的消息，并一直试图摆脱SLSH。当被问及为何还参与发布SLSH新的ShinySp1d3r勒索软件即服务产品时，Saif说他不能就这样突然退出该组织。“嗯，我不能就这样溜走，我正在努力清理与我有关的一切，然后继续前进，”他说。

他还透露，ShinySp1d3r只是Hellcat勒索软件的翻版，只是用AI工具进行了修改。“我基本上给出了Hellcat勒索软件的源代码。”Saif声称他最近主动联系了“Operation Endgame”的Telegram账户，这是针对网络犯罪服务、供应商及其客户的一项持续执法行动的代号。

“我已经在与执法部门合作，”Saif说。“事实上，我至少从六月份就开始和他们交谈了。我几乎告诉了他们一切。自九月份以来，我真的没有做过像入侵公司或勒索相关的事情。”Saif建议，现在写一篇关于他的报道可能会危及他可能能够提供的进一步合作。他还说，他不确定美国或欧洲当局是否就他参与黑客组织一事与约旦政府进行了联系。

“一篇报道会带来很多不必要的关注，如果我打算合作，会让事情变得非常困难，”Saif说。“我不确定会发生什么，他们说他们正在就我的请求与多个国家联系，但已经过去整整一周了，我没有收到他们的任何更新。”Saif分享了一张截图，表明他上个月底联系了欧洲刑警组织当局。但他无法说出任何他声称正在回应他询问的执法官员的名字，KrebsOnSecurity也无法核实他的说法。

“我真的不在乎，我只想摆脱所有这些事情，即使是入狱时间或他们将要说的任何话，”Saif说。